文件的完整性度量方法、装置、设备及存储介质与流程

本技术涉及文件的完整性度量的，尤其涉及一种文件的完整性度量方法、装置、设备及存储介质。

背景技术：

1、文件完整性度量是一种有效的安全检测方法，也是可信计算的核心技术。与防火墙、入侵检测系统和防病毒软件不同，文件完整性度量不需要复杂的策略、软件行为监控和庞大的恶意病毒库，仅需要检测文件是否被篡改，具有通用性强、可靠性高、管理简单等优点。

2、传统的完整性检测技术，都基于信息摘要算法，通过对比基础信息摘要与另外任意时间点生成的新的信息摘要是否相同，判别文件是否被篡改。如果信息摘要不同，则文件被篡改；否则文件完整。现有的完整性检测方法的问题主要源于信息摘要算法，信息摘要算法以文件的整个内容为输入，导致使用的数据量大，造成效率较低。

技术实现思路

1、本技术实施例提供一种文件的完整性度量方法、装置、设备及存储介质，以解决相关技术存在的问题，技术方案如下：

2、第一方面，本技术实施例提供了一种文件的完整性度量方法，包括：

3、构建带有被度量文件的第一容器；

4、根据所述第一容器，确定第一容器的第一顶层镜像信息；

5、根据所述第一顶层镜像信息，确定被度量文件的第一元数据信息；

6、根据所述第一容器，构建第二容器；

7、根据第二容器，确定第二容器的第二顶层镜像信息；

8、根据第二顶层镜像信息，确定被度量文件的第二元数据信息，所述第二元数据信息为在容器运行的某个时间点被度量文件的元数据信息；

9、在所述第一元数据信息和所述第二元数据信息相匹配的情况下，则确定所述被度量文件未被篡改。

10、在一种实施方式中，还包括：

11、在所述第一元数据信息和所述第二元数据信息不匹配的情况下，则确定所述被度量文件被篡改。

12、在一种实施方式中，所述第一元数据信息包括第一文件头部信息、第一编号列表和文件使用的第一数据块数量，所述第一元数据信息包括第一文件头部信息、第一编号列表和文件使用的第一数据块数量，所述在所述第一元数据信息和所述第二元数据信息相匹配的情况下，则确定所述被度量文件未被篡改包括：

13、判断所述第一文件头部信息的文件索引的内容与所述第二头部信息的文件索引的内容是否相同，得到第一比对结果；

14、判断所述第一数据块数量和所述第二数据块的数量是否相同，得到第二比对结果；

15、依次读取所述第一编号列表和所述第二编号列表中的数据，并比较所述第一编号列表和所述第二编号列表对应位置的生成编号是否相同，得到第三比对结果；

16、在所述第一比对结果为所述第一文件头部信息的文件索引的内容与所述第二头部信息的文件索引的内容相同、所述第二比对结果为所述第一数据块数量和所述第二数据块的数量相同和所述第三比对结果为所述第一编号列表和所述第二编号列表对应位置的生成编号相同的情况下，则确定所述被度量文件未被篡改。

17、在一种实施方式中，所述在所述第一元数据信息和所述第二元数据信息不匹配的情况下，则确定所述被度量文件被篡改包括：

18、在所述第一比对结果为所述第一文件头部信息的文件索引的内容与所述第二头部信息的文件索引的内容不相同、所述第二比对结果为所述第一数据块数量和所述第二数据块的数量不相同或所述第三比对结果为所述第一编号列表和所述第二编号列表对应位置的生成编号不相同的情况下，则确定所述被度量文件被篡改。

19、在一种实施方式中，所述构建带有被度量文件的第一容器包括：

20、配置容器管理系统，并将容器使用的文件系统设置为btrfs文件系统；

21、在所述btrfs文件系统上创建第一容器，并设置第一容器名称；

22、将被度量文件存储在第一容器中，并记录被度量文件在第一容器中的第一存储路径。

23、在一种实施方式中，所述第一容器包括第一容器名称和所述被度量文件在第一容器中的第一存储路径，所述根据所述第一容器，确定第一容器的第一顶层镜像信息包括：

24、根据所述第一容器名称，确定第一容器的基本信息，所述第一容器的基本信息包括第一容器的第一配置存储位置和第一编号；

25、根据所述第一配置存储位置和第一编号，得到第一容器当前使用的第一可写子卷路径；

26、根据所述第一可写子卷路径和所述第一存储路径，得到被度量文件在btrfs文件系统中的第二存储路径。

27、在一种实施方式中，所述第一顶层镜像信息包括被度量文件在btrfs文件系统中的第二存储路径，所述根据所述第一顶层镜像信息，确定被度量文件的第一元数据信息包括：

28、根据被度量文件在btrfs文件系统中的第二存储路径在btrfs文件系统中，按顺序记录保存第一文件头部信息以及按顺序保存文件内容使用的第一数据块中的生成编号，生成第一编号列表；

29、根据文件内容使用的第一数据块，确定记录文件内容使用的第一数据块的数量。

30、第二方面，本技术实施例提供了一种文件的完整性度量装置，包括：

31、第一构建模块，用于构建带有被度量文件的第一容器；

32、第一确定模块，用于根据所述第一容器，确定第一容器的第一顶层镜像信息；

33、第二确定模块，用于根据所述第一顶层镜像信息，确定被度量文件的第一元数据信息；

34、第二构建模块，用于根据所述第一容器，构建第二容器；

35、第三确定模块，用于根据第二容器，确定第二容器的第二顶层镜像信息；

36、第四确定模块，用于根据第二顶层镜像信息，确定被度量文件的第二元数据信息，所述第二元数据信息为在容器运行的某个时间点被度量文件的元数据信息；

37、第一匹配模块，用于在所述第一元数据信息和所述第二元数据信息相匹配的情况下，则确定所述被度量文件未被篡改。

38、第三方面，本技术实施例提供了一种电子设备，该设备包括：存储器和处理器。其中，该存储器和该处理器通过内部连接通路互相通信，该存储器用于存储指令，该处理器用于执行该存储器存储的指令，并且当该处理器执行该存储器存储的指令时，使得该处理器执行上述各方面任一种实施方式中的方法。

39、第四方面，本技术实施例提供了一种计算机可读存储介质，计算机可读存储介质存储计算机程序，当计算机程序在计算机上运行时，上述各方面任一种实施方式中的方法被执行。

40、上述技术方案中的优点或有益效果至少包括：

41、本公开实施例的技术方案，在容器使用btrfs文件系统的情况下，首先构建带有被度量文件的第一容器，其次根据所述第一容器，确定第一容器的第一顶层镜像信息；根据所述第一顶层镜像信息，确定被度量文件的第一元数据信息，再次根据所述第一容器，构建第二容器；根据第二容器，确定第二容器的第二顶层镜像信息；根据第二顶层镜像信息，确定被度量文件的第二元数据信息，所述第二元数据信息为在容器运行的某个时间点被度量文件的元数据信息；最后检测文件是否被篡改，在所述第一元数据信息和所述第二元数据信息相匹配的情况下，则确定所述被度量文件未被篡改。该方法利用容器内文件在btrfs文件系统中的元数据信息，降低完整性度量所需要的数据量和算法的复杂度，有效提高了完整性度量的效率。

42、本实施例的方法，减少检测需要的数据量：基于信息摘要算法的文件完整性检测方法需要在初始阶段和检验阶段获取信息摘要。信息摘要算法以文件内容作为输入，使用的数据量较大。在本实施例的方法中，仅需要检查该文件在btrfs文件系统中的元数据。减少算法需要的复杂度：基于信息摘要算法的文件完整性检方法为了实现不同的文件内容得到不同的信息摘要，需要经过大量复杂的计算过程，包括矩阵乘法、矩阵转置等。本实施例的方法中，判断文件是否被篡改仅仅需要比较原有文件在btrfs文件系统中的元数据是否与当前文件在btrfs文件系统中的元数据相同。

43、上述概述仅仅是为了说明书的目的，并不意图以任何方式进行限制。除上述描述的示意性的方面、实施方式和特征之外，通过参考附图和以下的详细描述，本技术进一步的方面、实施方式和特征将会是容易明白的。